OPNsense Forum
International Forums => German - Deutsch => Topic started by: dthudae on July 08, 2019, 07:44:02 pm
-
Hallo zusammen,
ich versuche nun seit mehreren Tagen vergeblich meine OPNsense mit meinem VPN Anbieter zu verbinden.
Folgende Einstellungen habe ich getroffen:
VPN --> OpenVPN --> Clients
Server Mode: Peer to Peer (SSL/TLS)
Protocol: UDP4
Device mode: tun
Interface: WAN
Remote server: de1.vyprvpn.com
Port: 443
Username: Username
Password: Password
Peer Certificate Authority: VYPRVPN CA
Encryption algorithm: AES-256-CBC
Auth Digest Algorithm: SHA256
Compression: Enabled with Adaptive Compression
Disable IPv6: Checked
Advanced:
resolv-retry infinite
keepalive 10 60
persist-key
persist-tun
persist-remote-ip
verify-x509-name de1.vyprvpn.com name
verb 3
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
Verbosity level: 3
Alle anderen nicht genannten Einstellungen sind auf Default bzw. leer.
Die openvpn Datei des Anbieters sieht wie folgt aus:
client
dev tun
proto udp
remote de1.vyprvpn.com 443
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
verify-x509-name de1.vyprvpn.com name
auth-user-pass
comp-lzo
keepalive 10 60
verb 3
auth SHA256
cipher AES-256-CBC
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
Das Zerifikat habe ich unter System --> Trust --> Authorities --> VYPRVPN CA importiert.
NAT steht auf "Hybrid outbound NAT rule generation".
Die entsprechenden Logs habe ich in dem Anhang beigefügt.
Über jegliche Hilfestellungen, Ideen und Ratschläge wäre ich sehr dankbar.
Gruß
-
Also zuerst wirf erstmal alles aus der Advanced Box raus. Du setzt Werte, die eh automatisch gesetzt werden, das ist unnötig. Wenn noch was gebraucht wird, kann man das reinpacken, aber erstmal weg mit dem Käse.
Dann sicherstellen dass dein Verbosity Level auf 3 oder 4 auch wirklich steht, das Log sieht nämlich aus als wäre es noch auf Default, sonst sollten da Infos zu den Ciphern etc. zu finden sein.
Bist du zudem sicher - nochmal nachsehen oder nachfragen - dass die ernsthaft ihre Verbindung über UDP(!) 443 aufbauen? Wäre sehr unüblich und das inactivity timeout deutet auch darauf hin, dass der Server da überhaupt keine Antwort gibt. (er wartet genau eine Minute und ist dann raus).
-
Hi,
danke für deine Rückmeldung.
Die Advanced Box habe ich leer gemacht und mir die VPN Konfigurationsdateien nochmal genauer angesehen.
Es wird unterschieden zwischen 160-Bit und 256-Bit, die Verbindung über 160 Bit funktioniert mit angepassten Parametern. Und ja, Port 443 UDP bezieht sich auf die 256 Bit (Nach Rücksprache mit dem Anbieter). Da die VPN Verbindung steht, betrachte ich diesen Punkt erstmal als gelöst.
Komme ich nun zu meiner nächsten Frage:
Ich hab einen Alias angelegt, für Clients deren Traffic durch den VPN Tunnel geschickt werden soll. Dies funktioniert auch soweit gut. Nun würde ich aber noch gerne einrichten, dass die im Alias hinterlegen Geräte ohne VPN Verbindung nicht ins Internet kommen. Stand jetzt ist es so, dass die Clients über die normale WAN Verbindung ins Internet gehen sobald die VPN Verbindung beendet ist.
Mein erster Ansatz wäre gewesen, eine Regel für die verschiedenen Gateways zu erstellen, also wie folgt:
Allow --> Source (Alias VPN Traffic) --> Gateway OPT1_DHCP
DENY --> Source (Alias VPN Traffic) --> Gateway WAN_GWv4
Dies funktioniert leider nicht. Hab ich hier einen Denkfehler oder muss mein Anliegen anders realisiert werden?
Die Regeln aus dem LAN habe ich angefügt.
Gruß
-
Da ich nicht sicher bin ob OPNsense irgendwo einen ähnlichen Schalter versteckt hat wie pfSense (Skip rules if Gateway is down -> Regeln eines spezifischen GWs werden übersprungen wenn es down ist), würde ich das mit Tag und Markern versuchen:
* Die LAN Regel mit Custom Gateway (VPN) editieren
* Unter Advanced und "Set Local Tag" z.B. den Marker NO_WAN_IF_VPN_DOWN vergeben
* Auf "Floating" gehen
* Eine Block Regel anlegen wie folgt: Block, Quick, Interface: WAN, Direction: out, Advanced Options aufklappen, Match local tag "NO_WAN_IF_VPN_DOWN"
Damit sollte die Floating Regel ausgehenden Verkehr auf dem WAN Interface blocken, wenn er das genannte Tag hat und da das Tag nur in der VPN Regel genutzt wird, sollte somit aller VPN Traffic geblockt werden, der statt VPN Interface via WAN die Firewall verlassen möchte.
Gruß
-
Hi,
funktioniert einwandfrei! Danke für deine Hilfe :)
Gruß